部分Cisco IOS IPS常见问题
来源:互联网 发布:淘宝客赚钱么 编辑:程序博客网 时间:2024/04/28 01:01
Cisco IOS IPS
Q. IOS IPS和IPS有什么不同?
A. IOS IPS是带IPS功能的路由器,即可升级支持IPS功能IOS的路由器。而IPS检测器是专门的IPS系统,如Cisco IPS 4200产品。
Q. IPS子系统版本指什么? 在哪里查找?
A.IOS里面内置的IPS有一个子系统版本号,简单地来说,子版本号标示了IPS的功能版本信息。IOS和IPS子系统的关系,就犹如Windows里面装了Office 2003,2003就是Ofiice软件的"子版本号"。通过 show subsys 查看
Q. 哪里可以下载到Cisco IPS Version 5格式的特征集文件,用于IOS 12.4(11)T?
A. 下载链接
http://www.cisco.com/pcgi-bin/tablebuild.pl/ios-v5sigup
. 注意,稍早IOS版本并不支持该种格式的特征集文件。
Q. 内置特征集是指什么?
A. 即IOS本身自带的特征集,在12.4(11)T版本里已经移除。在稍早的版本里内置135个特征(签名),并不推荐使用,一般建议将签名SDF文件拷贝进Flash,使IOS可支持接近600个入侵特征。
Q. 基本特征集和高级特征集是什么?
A. 基本特征集(在Cisco网站下载的文件名128MB.sdf) 系推荐给内存大小为128MB的路由器使用。高级特征集t (在Cisco网站下载的文件名128MB.sdf,该文件目前786KB大小)系推荐给内存大小为256MB的路由器使用。
下载链接
http://www.cisco.com/pcgi-bin/tablebuild.pl/ios-sigup
.原使用文件attack-drop.sdf已经不提供下载,因为只覆盖了有限的攻击特征。
Q. 在Cisco Security Device Event Exchange (SDEE)可以存放多少条目?
A. SDEE系应用层通信协议,用于交换IPS客户端和服务器之间的信息。除非SDEE通知打开,否之收不到信息。当使用命令ip ips notify sdee打开通知之后,可以自动缓存存储200个事件报告 ,重设通知功能,也会导致事件报告丢失。
Q. IOS IPS是否有故障安全能力?
A. 所谓故障安全,在网络安全领域,指软硬件发生故障后,阻塞所有流量保证安全(fail-close),或者允许所有流量通过保证连接(fail-open),电力领域里,电路短路后跳闸,就属于fail-close。
默认情况下Cisco IOS IPS有fail-open能力,即IPS失效后,所有流量可通过。使用命令ip ips fail closed,可以改变IPS行为,发生故障后,丢弃所有数据包。
Q. 在IOS软件 12.4(9)T2之前版本,如果外部特征数据库服务器不可用,或者特征集文件损坏及丢失时,路由器采取什么动作?
A. IOS IPS可以配置多个特征集的备份位置,比如TFTP、Flash、HTTP等,如果在任何位置都找不到特征集文件,那么会启用IOS内置特征集数据库。如果之前使用命令no ip ips sdf builtin,明确不允许使用内置特征集数据库的话,那么会执行故障安全,参看上一个问题,要么fail-open,要么fail-close,每分钟产生对应信息:(%IPS-5-PACKET_UNSCANNED: IPS-fail open-packets passed)., (%IPS-5-PACKET_DROP: IPS-fail closed-packets dropped)。
Q. 如果某个特征无法加载,怎么办?
A. 忽略对应特征的扫描,其它特征继续工作.
Q. 12.4(11)T之后版本的IOS,如何改变对应特征触发的动作?
A. 使用命令行可以操作,具体参看配置文档。
Q.12.4(11)T之前的版本,如果改变对应特征触发的动作?
A. 特征对应采取的动作,可以由SDM 2.2或者IPS MC 2.2操作。动作设置包含:报警、丢弃、重设、拒绝攻击者、拒绝数据流
Q. Cisco IOS IPS 和Cisco IOS Firewall共享相同的会话表吗?
A. 是的,它们共享相同的会话表. 最重要的会话参数包括:
ip inspect max-incomplete,
ip inspect one-minute,
ip inspect tcp max-incomplete host session counters.
更详细信息参看 Cisco IOS IPS白皮书:
http://www.cisco.com/en/US/products/ps6634/prod_white_papers_list.html
.
Q. inactive对检测引擎意味着什么?
A. inactive的特征是不执行对应检测的. disabled的特征执行对应检测,但不采取任何动作。
Q. Cisco SDM 2.2 和CiscoWorks IPS MC 2.2的差别?
A. Cisco SDM 2.2 是设备管理工具. 每个设备1个配置界面. CiscoWorks IPS MC 2.2 网络管理应用. 可以 CiscoWorks IPS MC 2.2部署多个Cisco IOS IPS 设备的配置
更多信息请看:
• Cisco SDM:
http://www.cisco.com/en/US/products/sw/secursw/ps5318/index.html
• CiscoWorks IPS MC:
http://www.cisco.com/en/US/products/sw/cscowork/ps3990/index.html
Q. Cisco IDS模块和IOS IPS的差别?
A. IDS网络模块集成IPS 4200检测器,作为IDS的解决方案,不会阻止流量。
IDS网络模块和路由器是相对独立的(模块自带硬盘、Flash、CPU、处理芯片、操作系统),因此不会影响路由器的性能和处理。而IOS IPS系路由器IOS中的一部分功能,使用的路由器的CPU进行处理。IDS网络模块需要1个NM插槽,支持2600XM、2691、2811、2821、2851、3660、3700、3800平台。
Q. 哪些平台支持IOS IPS?
A. Cisco 87x, 18xx, 28xx, 38xx, 2600XM, 2691, 37x5, 72xx 以及7301 支持Cisco IOS IPS 功能. 也不排除未来其它运行IOS的平台增加对该功能的支持。
Q. IOS IPS和IPS有什么不同?
A. IOS IPS是带IPS功能的路由器,即可升级支持IPS功能IOS的路由器。而IPS检测器是专门的IPS系统,如Cisco IPS 4200产品。
Q. IPS子系统版本指什么? 在哪里查找?
A.IOS里面内置的IPS有一个子系统版本号,简单地来说,子版本号标示了IPS的功能版本信息。IOS和IPS子系统的关系,就犹如Windows里面装了Office 2003,2003就是Ofiice软件的"子版本号"。通过 show subsys 查看
Q. 哪里可以下载到Cisco IPS Version 5格式的特征集文件,用于IOS 12.4(11)T?
A. 下载链接
http://www.cisco.com/pcgi-bin/tablebuild.pl/ios-v5sigup
. 注意,稍早IOS版本并不支持该种格式的特征集文件。
Q. 内置特征集是指什么?
A. 即IOS本身自带的特征集,在12.4(11)T版本里已经移除。在稍早的版本里内置135个特征(签名),并不推荐使用,一般建议将签名SDF文件拷贝进Flash,使IOS可支持接近600个入侵特征。
Q. 基本特征集和高级特征集是什么?
A. 基本特征集(在Cisco网站下载的文件名128MB.sdf) 系推荐给内存大小为128MB的路由器使用。高级特征集t (在Cisco网站下载的文件名128MB.sdf,该文件目前786KB大小)系推荐给内存大小为256MB的路由器使用。
下载链接
http://www.cisco.com/pcgi-bin/tablebuild.pl/ios-sigup
.原使用文件attack-drop.sdf已经不提供下载,因为只覆盖了有限的攻击特征。
Q. 在Cisco Security Device Event Exchange (SDEE)可以存放多少条目?
A. SDEE系应用层通信协议,用于交换IPS客户端和服务器之间的信息。除非SDEE通知打开,否之收不到信息。当使用命令ip ips notify sdee打开通知之后,可以自动缓存存储200个事件报告 ,重设通知功能,也会导致事件报告丢失。
Q. IOS IPS是否有故障安全能力?
A. 所谓故障安全,在网络安全领域,指软硬件发生故障后,阻塞所有流量保证安全(fail-close),或者允许所有流量通过保证连接(fail-open),电力领域里,电路短路后跳闸,就属于fail-close。
默认情况下Cisco IOS IPS有fail-open能力,即IPS失效后,所有流量可通过。使用命令ip ips fail closed,可以改变IPS行为,发生故障后,丢弃所有数据包。
Q. 在IOS软件 12.4(9)T2之前版本,如果外部特征数据库服务器不可用,或者特征集文件损坏及丢失时,路由器采取什么动作?
A. IOS IPS可以配置多个特征集的备份位置,比如TFTP、Flash、HTTP等,如果在任何位置都找不到特征集文件,那么会启用IOS内置特征集数据库。如果之前使用命令no ip ips sdf builtin,明确不允许使用内置特征集数据库的话,那么会执行故障安全,参看上一个问题,要么fail-open,要么fail-close,每分钟产生对应信息:(%IPS-5-PACKET_UNSCANNED: IPS-fail open-packets passed)., (%IPS-5-PACKET_DROP: IPS-fail closed-packets dropped)。
Q. 如果某个特征无法加载,怎么办?
A. 忽略对应特征的扫描,其它特征继续工作.
Q. 12.4(11)T之后版本的IOS,如何改变对应特征触发的动作?
A. 使用命令行可以操作,具体参看配置文档。
Q.12.4(11)T之前的版本,如果改变对应特征触发的动作?
A. 特征对应采取的动作,可以由SDM 2.2或者IPS MC 2.2操作。动作设置包含:报警、丢弃、重设、拒绝攻击者、拒绝数据流
Q. Cisco IOS IPS 和Cisco IOS Firewall共享相同的会话表吗?
A. 是的,它们共享相同的会话表. 最重要的会话参数包括:
ip inspect max-incomplete,
ip inspect one-minute,
ip inspect tcp max-incomplete host session counters.
更详细信息参看 Cisco IOS IPS白皮书:
http://www.cisco.com/en/US/products/ps6634/prod_white_papers_list.html
.
Q. inactive对检测引擎意味着什么?
A. inactive的特征是不执行对应检测的. disabled的特征执行对应检测,但不采取任何动作。
Q. Cisco SDM 2.2 和CiscoWorks IPS MC 2.2的差别?
A. Cisco SDM 2.2 是设备管理工具. 每个设备1个配置界面. CiscoWorks IPS MC 2.2 网络管理应用. 可以 CiscoWorks IPS MC 2.2部署多个Cisco IOS IPS 设备的配置
更多信息请看:
• Cisco SDM:
http://www.cisco.com/en/US/products/sw/secursw/ps5318/index.html
• CiscoWorks IPS MC:
http://www.cisco.com/en/US/products/sw/cscowork/ps3990/index.html
Q. Cisco IDS模块和IOS IPS的差别?
A. IDS网络模块集成IPS 4200检测器,作为IDS的解决方案,不会阻止流量。
IDS网络模块和路由器是相对独立的(模块自带硬盘、Flash、CPU、处理芯片、操作系统),因此不会影响路由器的性能和处理。而IOS IPS系路由器IOS中的一部分功能,使用的路由器的CPU进行处理。IDS网络模块需要1个NM插槽,支持2600XM、2691、2811、2821、2851、3660、3700、3800平台。
Q. 哪些平台支持IOS IPS?
A. Cisco 87x, 18xx, 28xx, 38xx, 2600XM, 2691, 37x5, 72xx 以及7301 支持Cisco IOS IPS 功能. 也不排除未来其它运行IOS的平台增加对该功能的支持。
- 部分Cisco IOS IPS常见问题
- Cisco IOS IPS
- cisco ios ips 分支机构应用
- 通过CLI配置cisco IOS IPS 步骤
- Dynamips 模拟cisco ios ips java设置
- ips
- Monitoring von Cisco ASA und IPS über NAGIOS
- CISCO部分命令全集
- cisco路由交换部分
- 思科MARS+IOS IPS功能的价值
- iOS .ips(crash)崩溃报告文件分析
- iOS crash报告符号化,.ips文件分析
- iOS .ips(crash)崩溃报告文件分析
- Cisco VPN Client 常见问题解析
- Cisco ASA: All-in-One Firewall, IPS, and VPN Adaptive Security Appliance
- Cisco IOS进程调试
- CISCO IOS REVISION COMMANDS
- 什么是 cisco ios
- 11992 - Fast Matrix Operations
- Junit 单元测试
- 10 个你需要了解的 Linux 网络和监控命令
- C语言字节对齐
- C++大數乘冪運算
- 部分Cisco IOS IPS常见问题
- generative model 与 discriminative model 进一步理解
- GNU C 、ANSI C、标准C、标准c++区别和联系
- Python源码学习(六)-PyCodeObject初探
- 稀疏矩阵的转置算法
- 1282. Computer Game
- mvn使用详解
- 开始啃oracle官方文档
- 阿里面试题型总结
